Nel 2014 un utente malintenzionato aveva installato un "web shell" su  un dispositivo nel sistema Starwood Hotels and resorts Worldwide Inc., che ha  permesso di introdurre malware, consentendo all'attaccante stesso di avere  accesso remoto al sistema come utente privilegiato e di asportare il data  base, memorizzando i dati delle prenotazioni dei clienti Starwood: circa 339  milioni di record di ospiti in tutto il mondo, contenenti nomi, e-mail,  numero di telefono, numero di passaporto, informazioni su arrivi/partenze.  Sembrerebbe che l'attacco sia rimasto inosservato sino a settembre 2018,  momento in cui la società è stata acquisita da Marriott International Inc.  L'indagine dell'ICO ha rilevato che Marriott non ha messo in atto misure  tecniche e/o organizzative appropriate per proteggere i dati personali  elaborati sui propri sistemi, come richiesto dal GDPR.